La Supply Chain ha sido siempre foco de desafíos recurrentes, tales como robos y fraude, pero en los últimos años se ha convertido en la diana de importantes ciberataques. Tanto es así, que ENISA (Agencia de la Unión Europea para la Ciberseguridad), pronostica que la cadena de suministro será la principal fuente de amenazas de ciberseguridad para 2030.
De hecho, estas previsiones las corrobora la consultora Gartner, que anticipa también un aumento significativo en los ataques a la Supply Chain, con una proyección de que estos se tripliquen para el año 2025, afectando al 45% de las empresas a nivel global.
El riesgo radica en la percepción actual de que la cadena de suministro es inherentemente segura. Para abordar esta problemática, se hace necesario adoptar el enfoque de "Zero Trust" con respecto a todos los proveedores. Esto implica la capacidad de llevar a cabo una evaluación exhaustiva de los proveedores para garantizar su seguridad, en lugar de asumir su confiabilidad únicamente debido a su condición de proveedores.
Adicionalmente, se considera esencial llevar a cabo pruebas de penetración (pentesting) tanto desde el exterior como desde la propia red de proveedores. Esto es crucial para evaluar la capacidad de los proveedores de generar posibles amenazas internas, en lugar de limitarse a considerar únicamente a los atacantes externos.
Juan Manuel Pascual, experto en ciberseguridad y CEO de Innovery España y Latam, afirma que, “en cuanto a conocimientos y aptitudes en ciberseguridad, podemos decir que estas empresas se encuentran en un nivel medio de ciberseguridad, por lo que les queda mucho camino aún por recorrer.”
Los grandes riesgos de la Supply Chain en ciberseguridad
La compañía ha observado que el riesgo cibernético en la cadena de suministro podría estar relacionado con su proximidad al negocio, aunque paradójicamente es la parte menos protegida. En este contexto, Innovery identifica cinco principales riesgos para la cadena de suministro en los próximos años:
- Seguridad en las APIs: La integridad de las transacciones en los procesos de digitalización es crucial. Esto adquiere mayor relevancia dado que el 70% de los desarrolladores de software planean aumentar su uso en 2023. Es esencial implementar medidas de seguridad adecuadas para evitar un uso indebido de estas plataformas.
- Análisis del riesgo: La falta de conocimiento sobre las conexiones a los sistemas representa un riesgo. Para abordar esta amenaza, existen herramientas que recopilan información de empresas o clientes desde el exterior. Para asegurar la máxima seguridad, se recomienda llevar a cabo un Security Performance Analysis (SPA) del proveedor para evaluar sus medidas de seguridad y verificar su cumplimiento de requisitos. Esto garantiza que los sistemas y herramientas utilizados estén protegidos contra posibles riesgos de seguridad.
- Zero trust: Este enfoque busca proteger los recursos de la empresa mediante una seguridad proactiva que implica autenticación continua y validación constante de identidades y accesos.
- Suplantación de identidad: Para prevenir esto, es fundamental emplear procesos de pago seguros y autenticación de usuarios robusta, como la autenticación de dos factores (2FA), junto con sistemas de alerta para detectar actividades sospechosas.
- Hacking de hardware: La selección cuidadosa de proveedores de hardware y la verificación de la ausencia de vulnerabilidades conocidas en los dispositivos adquiridos son importantes medidas preventivas.
“Es importante que las empresas de logística y transporte, independientemente de su tamaño, tomen medidas para sensibilizar a la dirección y al personal sobre la importancia de la ciberseguridad, y que trabajen para encontrar formas de invertir en medidas de seguridad efectivas. De esta manera, podrán mitigar los riesgos asociados con posibles amenazas y proteger su negocio, operaciones y reputación”, expone el CEO de la compañía.